- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全 $ |( G) J8 ]2 g, Y- J' z' X3 C, I
8 P2 l. h9 ~2 Z5 S2 o9 Y
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..1 ]# S0 a: ~, r" O
今天没事,就说说关于网站入侵. A' ?! E$ z1 i& q5 w) N
0 W. c& z) B, U3 f( L# j6 B1,确定目标
9 p" p3 F' Z1 g1 v9 H: i$ G: `* p& F1 [$ E* Y3 S( j
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
3 U! M0 d: q1 s0 x2 v5 Y2 y# I- k: l5 I2 M2 X
2,了解目标网站情况
1 g& u+ R& K) [+ X( [
* R+ m- n( ]8 P+ R1 F8 C' d需要了解的有.
! e% k4 p5 Q# r& S% |: @7 R
. z; K# r6 A; V& |(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
+ ?! k4 h$ Q2 Y(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
6 C3 h0 e' o1 j: P/ F( P9 V' q- u1 W: }
3,了解他的漏洞, u# g6 e5 u" w
% @2 J/ I! j6 |- x' ?
如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....( u {! f* N/ w! F) L3 X4 P+ W5 m
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..3 ?* G) q/ c& O$ E' M9 G# k
6 C* N6 \9 I1 q) G3 e4.拿shell..+ z2 H2 Z/ O( t# ?( i7 k
7 j- M2 n; y- b& O l' i
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
% G _; \" W7 S' O; |+ ^# F! S 1.备份拿shell(很简单.网上很多教程)4 ~, j; e* ?( N2 o
2.上传漏洞(利用抓包.再利用NC上传..)
, y/ T# w8 D+ b+ B, {- h/ z6 t C 3.一句话(一句话木马经常用到)
: K8 d, }- J$ v+ \ 还有很多拿shell的方法.在这就不说这么多了..0 N5 R8 A3 m- E* d5 A; A/ S3 z/ L
+ U) I' R5 T! \, G5.拿服务器// k% H6 g8 D: z. [* Y5 c8 E
6 G, d0 P9 e% t z; i
几种常见的方法.0 O" Z# V: K1 N% f& p7 ]5 s
serv-u (很多WEBSHELL都自带这个功能.)
8 G A1 }. ^, g 上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )! @ l- o2 M @3 u
pcAnywhere.(远控软件,多用在服务器...)! s, k5 c F% Y5 q
.......................... 拿服务器的方法还有很多,不一一列出....; { F( c5 p0 \( V8 y. Z; ]( t
. _- J* b5 Q; {' S! C1 g6.总结.
, b; E8 @) s5 G. P% I
/ b" h) s0 P3 @9 E( n x5 B 哎,很久没说话了,废话了这么多.
# C7 j8 s+ J# V2 [- l+ d& Y
( a. g( t/ J2 u6 j' F 很久没写东西了.最近为了我自己的博客.写了几篇了.. w w- L5 j, ?2 V* _ k) h R$ }
; ~6 \$ \ ^/ W- C 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|